Sicherheit der Konfigurations-Website
Verfasst: 27. November 2005 20:56
Mir ist aufgefallen, dass die Konfigurations-Website nicht gerade sorgfältig mit Kennwörtern umgeht. 
Aktiviert man auf der Anmeldeseite die Option Kennwort speichern wird ein Cookie (PSWD) angelegt, in dem das Kennwort unverschlüsselt im Klartext gespeichert ist.
Solange die Option Kennwort speichern aktiv ist, sind sowohl der Benutzername als auch das Kennwort auch in den von der Website runtergeladenen Dateien enthalten (z.B. Update.EZHex).
Die Dateien sind zwar (zumindest teilweise) binär, enhalten aber einen Header im XML-Format, der mit jedem Texteditor gelesen werden kann.
Wie wichtig das mit dem Klartext-Kennwort ist, muss natürlich jeder selbst entscheiden...
Aktiviert man auf der Anmeldeseite die Option Kennwort speichern wird ein Cookie (PSWD) angelegt, in dem das Kennwort unverschlüsselt im Klartext gespeichert ist.
Solange die Option Kennwort speichern aktiv ist, sind sowohl der Benutzername als auch das Kennwort auch in den von der Website runtergeladenen Dateien enthalten (z.B. Update.EZHex).
Die Dateien sind zwar (zumindest teilweise) binär, enhalten aber einen Header im XML-Format, der mit jedem Texteditor gelesen werden kann.
Wie wichtig das mit dem Klartext-Kennwort ist, muss natürlich jeder selbst entscheiden...